Ransomware, cyber-świadomość i połączenie bezpieczeństwa publiczno-prywatnego

Nitin Natarajan jest zastępcą dyrektora CISA (Cybersecurity and Infrastructure Security Agency). 

W tej dyskusji z partnerem generalnym a16z Joelem de la Garzą (który był wcześniej dyrektorem ds. bezpieczeństwa w firmie Box i kierował zespołami ds. bezpieczeństwa w wielu instytucjach finansowych), Natarajan wyjaśnia, dlaczego ewoluujący krajobraz zagrożeń cybernetycznych wymusza organizacje każdej wielkości – a także osoby — aby stać się bardziej świadomym cyberprzestrzeni. Porusza również wiele innych tematów, w tym jak przemysł i rząd mogą najlepiej współpracować, aby dzielić się informacjami i chronić wszystkich.

Jest to zredagowana wersja dyskusji na żywo, która odbyła się w maju. Możesz posłuchaj całej dyskusji w formie podcastu tutaj.

---

JOEL DE LA GARZA: Jak Ty i jak CISA myśli o ustalaniu priorytetów zagrożeń? To wydaje się kluczem do wszystkiego, co próbujesz zrobić.

NITYNA NATARAJAN: Kiedy patrzymy na ustalanie priorytetów, sprowadza się to do prawdziwego zrozumienia, czym są te ryzyka systemowe. W jaki sposób możemy pomóc opowiedzieć historię kaskadowej analizy wpływu, aby ludzie mogli podejmować decyzje dotyczące tego, gdzie inwestować i przed jakim ryzykiem inwestować w celu ochrony? 

Albo jak postrzegamy ryzyko jako trójnożny stołek? Myślę, że spędzamy dużo czasu rozmawiając o identyfikacji ryzyka. Spędzamy dużo czasu rozmawiając o ograniczaniu ryzyka. Zapominamy o trzeciej nodze, która dla mnie jest tym akceptujemy każde ryzyko, które identyfikujemy i którego nie łagodzimy. I zawsze podejmujemy pewne ryzyko. To znaczy, przyjechałem tutaj. Wszedłem na scenę. Zaryzykowałem przychodząc tutaj. Zaryzykuję, odchodząc i ewentualnie spadając.

Ale jak upewnić się, że nasze oczy są szeroko otwarte na to, co akceptujemy? Jak rozumiemy ten krajobraz ryzyka i wykorzystujemy go do ustalania priorytetów? A jak na to spojrzeć w 16 krytycznych sektorach, które są na różnych poziomach dojrzałości?

Branże takie jak sektor finansowy odnotowały wymierny zwrot z inwestycji dzięki inwestowaniu w cyberbezpieczeństwo, ale mamy inne sektory, które nie zainwestowały tak długo lub tak dużo w tej dziedzinie. Chcemy być w stanie zajmować się ryzykiem w sposób, który uwzględnia, że ​​ludzie są w różnych miejscach, co przemawia zarówno do dużych międzynarodowych korporacji, jak i małych firm. Kiedy patrzymy na ryzyko w łańcuchu dostaw, wiele z tego ryzyka nie dotyczy dużych międzynarodowych korporacji, ale małych firm, które tworzą ten jeden mały element, ten jeden widget, który jest krytyczny.

Zatem ustalanie priorytetów jest dla nas wyzwaniem, ponieważ patrzymy na całe branże — pionowo i poziomo. Ale to, czego chcemy spróbować, to naprawdę zrozumieć, czym jest to ryzyko systemowe.

Media i branża bezpieczeństwa zawsze mówią o tych samych zagrożeniach. Jakie rzeczy są dla Ciebie najważniejsze, o których nie słyszymy na co dzień?

Myślę, że największym zagrożeniem jest samozadowolenie. Dużo mówiono o tym, kim jest przeciwnik i jak wygląda. A jak się angażujemy? Ale to, o co naprawdę się martwię, to sprawienie, by ludzie naprawdę zrozumieli, że mogą stać się ofiarami i jak postrzegają zagrożenie jako własne.

Rzeczy jak Hack Colonial Pipeline Pomogły w tym inne incydenty, w których ludzie myśleli w przeszłości: „Nie mogę być ofiarą. Nikt za mną nie przyjdzie: jestem małą firmą, albo małą wiejską jurysdykcją, albo szkołą, i co ty. Nie martwią się o mnie. Martwią się o miasta Nowego Jorku na świecie, martwią się o wielkie międzynarodowe korporacje”. Myślę, że widzimy, że ludzie są w stanie dostrzec, że zagrożenie jest dla nich realne. 

Mieliśmy incydent z małym okręgiem szkolnym, który padł ofiarą oprogramowania ransomware. Zadzwonili pod ten numer i powiedzieli: „Nie mamy żadnych pieniędzy. Jesteśmy tylko tym małym okręgiem szkolnym. Nie rozumiesz. A napastnicy powiedzieli: „Nie, wiemy, ile masz pieniędzy”.

Jak myślisz o przełamaniu tego odrętwienia lub samozadowolenia ze strony ogółu społeczeństwa?

Myślę, że to edukacja. Skłania konsumenta do zadawania pytań. Jeśli na przykład wybierasz się do banku, czy bank używa uwierzytelniania wieloskładnikowego? Chcesz szukać tego typu możliwości, a także tego, co ta instytucja robi z twoimi danymi osobowymi i zasobami, i jaka jest w tym wartość.

Myślę, że skłonienie ludzi do zrozumienia nawet takich rzeczy jak Internet przedmiotówi to, że wprowadzamy na świecie znacznie więcej luk w zabezpieczeniach, jest ważne. To znaczy, mamy lodówki podłączone do internetu. Nie jestem temu przeciwny. Nie wiem, co robi inaczej niż moja lodówka. Ale wszystkie te rzeczy wprowadzają nowe luki w zabezpieczeniach. 

Pewnego dnia żartobliwie powiedziałem komuś, że chciałbym wrócić do mojego starego Motoroli StarTAC dni. Do naszych urządzeń mobilnych wprowadziliśmy wiele możliwości i technologii. Ale z tym przynieśliśmy ryzyko. I nie sądzę, że spędziliśmy wystarczająco dużo czasu, rozmawiając o ryzyku, ponieważ mówimy o rozmiarze piksela i możliwości grania w gry.

Myślę, że musimy także edukować następne pokolenie. Prawdopodobnie zgubiłem się. Wierzę w to, w co wierzę, wiesz i jak zmieniasz zdanie? Ale patrzę na moje dzieci, które kończą liceum, a ludzie mówią: „Och, są tacy cyber-świadomy”. I powiedziałbym, że nie — zaoferowałbym, że są zaawansowany technologicznie. Używali iPadów od czasu, gdy mieli dwa miesiące, ale nadal przyklejają hasło z tyłu iPada lub z tyłu klawiatury.

Więc myślę, że się zrównaliśmy wiedza technologiczna w cyberprzemyślność. Musimy sprawić, by byli zorientowani w cyberprzestrzeni. Musimy wbudować go w to następne pokolenie, aby naprawdę wbudowali go w swoje codzienne życie, zarówno osobiście, jak i zawodowo.

Czy istnieją zagrożenia, na których punkcie mamy zbyt dużą obsesję i prawdopodobnie odciągają nas od realnego ryzyka?

Spędzamy dużo czasu przyglądając się krótkoterminowej perspektywie. Taka jest natura, domyślnie. Skupiamy się na tym, co jest tu i teraz, co jest przed nami. Ale nie wiem, czy spędzamy wystarczająco dużo czasu, patrząc na dłuższą metę — jeśli naprawdę, naprawdę patrzymy na to, jak odporność będzie wyglądać za 5 lat, 10 lat, 15 lat. I myślę, że to dlatego, że jest ciężko. Nie wiemy, gdzie technologia będzie za 5 lub 10 lat, więc trudno jest ocenić, na czym się skoncentrować. Skupiamy się więc na tym, co bezpośrednio przed nami.

Myślę, że musimy poświęcić więcej czasu na tę długoterminową odporność, ponieważ jej zbudowanie zajmie trochę czasu. Kiedy patrzę na rozwiązania korporacyjne lub rządowe, wiele tego typu rzeczy to wieloletnie wysiłki. I często, przynajmniej w procesie przejęcia rządowego, zanim ustalimy zakres i dokonamy przejęcia, jest to już nieaktualne. I zaczynamy cykl od nowa.

Największą rzeczą jest angażowanie się z nami. Mamy świetne relacje z partnerami że wiemy. Moim największym zmartwieniem jest to, że mamy wielu partnerów nie wiem.

Porozmawiajmy o sytuacji z Rosją i Ukrainą. Jedną z rzeczy, która była bardzo interesująca dla biernego obserwatora, jest to, że nie mieliśmy takiego samego chaosu, jaki mieliśmy w przeszłości — NotPetya i te rzeczy, które zostały zaprojektowane i opracowane, aby zakłócić Ukrainę, ale wyszły i zakłóciły globalny handel. Wygląda na to, że w tej iteracji było znacznie mniej szkód ubocznych. 

Czy to dlatego, że właśnie awansowaliśmy i dużo robimy? Czy to praca rządu dotycząca standardów jazdy i informowania ludzi? Ponieważ mamy Tarcze w górę ogłoszenie, że wiele forów, na których jestem, i ludzi, z którymi pracuję, potraktowało bardzo poważnie. 

Myślę, że zmieniło się to z wielu stron. Zdecydowanie zaszły zmiany z przeciwnikiem i niektóre z podejść tam. Myślę, że zdecydowanie zaszły zmiany ze strony rządu i praca, którą wykonaliśmy przez kilka lat, aby naprawdę podnieść poprzeczkę. Wiele z tego wynika ze współpracy z przemysłem i wielu tego typu rzeczy, które pomogły przemysłowi stać się bardziej odpornym. Myślę, że ludzie wierzą w cyberbezpieczeństwo bardziej niż kilka lat temu. I tak, wszystkie te rzeczy razem wzięte zaprowadziły nas w dobre miejsce.

Przez jakiś czas przebywałem w publicznej służbie zdrowia i od dawna walczymy z pandemią. To nie jest dla nas nowe. I walczyliśmy z pandemią, pamiętam, kiedy H1N1 — to, co uważaliśmy za pandemię — uderzył. Niewiele wiedzieliśmy. I, wiecie, to, co wtedy mówiliśmy, to to, że nie możemy przejść do pełnej pracy zdalnej lub telepracy, ponieważ systemy IT nie mogą sobie z tym poradzić. Cóż, przewińmy 12 lat do przodu i się udało. Udało nam się to osiągnąć nie tylko z powodu przejścia na chmurę — ​​wiele rzeczy doprowadziło nas do miejsca, w którym jesteśmy dzisiaj.

Więc myślę, że kiedy patrzymy na NotPetya w porównaniu z teraźniejszością, częścią tego są tak naprawdę zarówno zmiany po stronie przeciwnika, zmiany po naszej stronie, jak i zmiany dotyczące partnerstwa i relacji. Shields Up to świetny przykład, w którym jesteśmy w stanie pochylić się do przodu i udostępnić o wiele więcej informacji partnerom branżowym, zarówno na poziomie niesklasyfikowanym, jak i niesklasyfikowanym. Jak zdobywamy informacje? Jak sprawić, by ludzie ufali informacjom, które tam zamieszczamy?

Naszym celem w ostatecznym rozrachunku nie jest udostępnienie wszystkim tajnych dokumentów lub wyczyszczenie wszystkich z poświadczeniem bezpieczeństwa. Nigdy nie udostępnimy tych informacji na czas. To dostarczanie informacji w taki sposób, aby ludzie mogli je faktycznie wykorzystać. Przez lata wypracowałem swego rodzaju mantrę o dzieleniu się informacjami. Dla mnie to: W jaki sposób dostarczamy właściwe informacje właściwym osobom w odpowiednim czasie, co skutkuje bardziej poinformowany podejmowanie decyzji. Więc chociaż decyzja jest taka sama, przynajmniej jest lepiej poinformowana.

I tak, gdy przyjrzeliśmy się temu wydarzeniu i temu, co zobaczyliśmy, mieliśmy mechanizmy, które pozwalały na uzyskanie tam informacji. Mieliśmy ludzi, którzy wierzyli w jakość otrzymywanych informacji. Uważam też, że warto pochylać się do przodu i mówić, że nie mamy zbyt wielu informacji. I widzieliśmy kilka naprawdę wyjątkowych rzeczy. Mieliśmy wiele informacji, które byliśmy w stanie dość szybko dostać z utajnionej przestrzeni na podium – w rekordowym czasie, w niektórych przypadkach – i naprawdę byliśmy w stanie wykorzystać je do kierowania procesem podejmowania decyzji przez ludzi, jakie działania powinni podjąć. Myślę więc, że była to silna i skuteczna odpowiedź.

Ale wszystko sprowadza się do współpracy i partnerstwa, ponieważ nie tylko my udostępniamy informacje, których nie można wykorzystać. I dopóki nie otrzymamy opinii i naprawdę zbudujemy te systemy w sposób, który pozwoli nam współpracować, nie zmienimy tego krajowy krajobraz, gdy patrzymy na infrastrukturę krytyczną.

Patrzę na moje dzieci, które kończą liceum, a ludzie mówią: „Och, są tacy cyber-świadomy”. I powiedziałbym, że nie — zaoferowałbym, że są zaawansowany technologicznie. Używali iPadów od czasu, gdy mieli dwa miesiące, ale nadal przyklejają hasło z tyłu iPada lub z tyłu klawiatury.

Chętnie poznam Twoją opinię na temat oprogramowania ransomware. Administracja potraktowała to bardzo poważnie. I tak się składa, że ​​skupia się głównie na obszarach, które teraz ze sobą walczą. Jestem ciekaw twojego podejścia do radzenia sobie z oprogramowaniem ransomware i tego, w jaki sposób możesz z nim walczyć. Ponieważ wydaje się, że może się poprawiło…

Zrobię swoją wtyczkę za nasza witryna ransomware, gdzie staraliśmy się zebrać wszystko razem w centralnej witrynie internetowej, aby udostępniać tam informacje. Ale myślę, że dużo sprowadza się do edukacji. To uczenie ludzi, że nie dostaniesz miliona dolarów e-mailem – dostaniesz duży papierowy czek, ktoś podejdzie do twoich drzwi i zadzwoni. Myślę, że sprowadza się to do umożliwienia ludziom zrozumienia, kim są potencjalne ofiary.

Mieliśmy incydent z małym okręgiem szkolnym, który padł ofiarą oprogramowania ransomware. Zadzwonili pod ten numer i powiedzieli: „Nie mamy żadnych pieniędzy. Jesteśmy tylko tym małym okręgiem szkolnym. Nie rozumiesz.

A napastnicy powiedzieli: „Nie, wiemy, ile masz pieniędzy. Mamy wyciągi z Twojego konta bankowego. Wiemy ile masz. Wiemy, ile możesz zapłacić i to, o co Cię prosimy, jest dość proporcjonalne do tego, ile masz w banku. Więc nie zabieramy wszystkiego, zostawiamy trochę czegoś. Ale tak naprawdę tego chcemy”.

Okręg szkolny powiedział: „Cóż, chcesz Bitcoina. Nie wiem, jak to zrobić. 

„Mamy help desk. Mamy help deski w 14 różnych językach, które pomogą Ci zdobyć bitcoin. Jak więc możemy ci pomóc?”

Myślę więc, że dzięki oprogramowaniu ransomware musimy pozwolić ludziom zrozumieć luki w zabezpieczeniach, ryzyko, kim mogą być cele i działania do podjęcia [patrz wspólne doradztwo CISA 2021 Ransomware Trends]. I wpływ pieniężny. W przypadku ataków ransomware i innych rodzajów rzeczy, które obserwujemy, ludzie są indywidualny użytkowników. Ale myślę też, że ludzie zaczynają zwracać na to uwagę. Myślę, że ludzie zaczynają nie klikać na wszystko.

I do martwić się o takie rzeczy jak pandemie i tego typu rzeczy, w których mamy zwiększony potencjał możliwości. Albo ktoś, kto ma w skrzynce odbiorczej 300 e-maili i po prostu musi przez nie przejść, a kto pada ofiarą tego typu rzeczy. Dlatego musimy utrzymać presję. Musimy podtrzymywać przekaz. 

I musimy uświadomić to także młodszemu pokoleniu. Ponieważ popełniłem błąd, przeglądając skrzynkę odbiorczą mojego licealisty. I nie wiem, czy czytają ich e-maile, czy co. Nie wiem, co mają… są setki — setki — e-maili. Nawet nie wiem, skąd są ani skąd je wzięli. Jak edukować kolejne pokolenie, aby było w lepszym miejscu?

Naszym celem w ostatecznym rozrachunku nie jest udostępnienie wszystkim tajnych dokumentów lub wyczyszczenie wszystkich z poświadczeniem bezpieczeństwa. . . . Dla mnie jest to: w jaki sposób dostarczamy właściwe informacje do właściwych osób w odpowiednim czasie, co skutkuje bardziej poinformowany podejmowanie decyzji.

Byłoby wspaniale zrozumieć, w jaki sposób możemy w sektorze prywatnym lepiej współpracować z rządem i pomóc w poprawie sytuacji. Ponieważ jest to jeden z tych sportów zespołowych, w którym wszyscy razem przegrywamy, jeśli nie wygrywamy.

Myślę, że najważniejszą rzeczą jest angażowanie się z nami. Mamy świetne relacje z partnerami że wiemy. Moim największym zmartwieniem jest to, że mamy wielu partnerów nie wiem. Nie wiemy, gdzie są, ani jak się tam dostać. CISA to rozwijająca się organizacja — mamy siły terenowe w całym kraju liczące około 500 osób i musimy to dalej rozwijać — ale nawet 500 osób to kropla w morzu. Dlatego musimy wiedzieć, jak i z kim się angażować. I w tym myślę, że branża może pomóc, ponieważ jest o wiele więcej okazji do zaangażowania się w branżę, aby połączyć nas z odpowiednimi partnerami, którzy mogą pomóc nam podnieść poprzeczkę odporności.

A potem bądź szczery. Zachowaj nas uczciwie i edukuj nas. Wiesz, naprawdę staramy się pochylić do przodu w wielu naszych zaangażowaniach, ponieważ myślę, że w przeszłości było wiele obaw związanych z tym, jak angażujemy się w branżę: „Co możemy zrobić?” „Co możemy powiedzieć?” „Czego nie możemy powiedzieć?” 

W CISA zbudowaliśmy teraz zespół, który naprawdę skłania się do przodu i nie boimy się tego zaangażowania. Tak, są linie, ale w tych liniach mamy dużą swobodę geograficzną. Naprawdę staramy się pozostać w obrębie tych barierek — nie chcemy się przez nie przebić i zejść z klifu — ale dopóki trzymamy się tych barierek, wszystko jest w porządku.

Myślę więc, że najważniejszą rzeczą jest powiedzenie nam tego, czego nie wiemy. I wiem, że jest wiele rzeczy, o których nie wiemy. Ale pomoc w edukacji nas, czym one są, pomagając nam być odpowiedzialnym za to, co robimy lub czego nie robimy, naprawdę myślę, że pomoże nam iść naprzód i dokonać tych znaczących skoków, które musimy zrobić.

Opublikowano 4 lipca 2022